In der Schweiz und in der EU verlassen sich die meisten Organisationen auf das Microsoft-Identitätsökosystem, um den Zugriff auf Unternehmenssysteme zu steuern. Active Directory (AD) ist weiterhin tief in On-Premises-Infrastrukturen verankert, während Microsoft Entra ID (ehemals Azure AD) sich als dominante cloudbasierte Plattform für Identitäts- und Zugriffsmanagement etabliert hat.

Die Position von Microsoft im Enterprise-Umfeld ist erheblich:

• ~21 % globaler Cloud-Marktanteil (Q4 2025)
• 73–80 % Marktanteil bei Produktivitätssoftware im öffentlichen Sektor der EU
• Starke Präsenz in Schweizer Unternehmen und öffentlichen Institutionen

Für viele Organisationen bilden Microsoft-Identitätsdienste das Rückgrat für Authentifizierung, Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA).

Daraus ergibt sich eine strategische Frage:

• Wenn Microsoft die Enterprise-Identität dominiert, wie sollte sich ein Business-Passwortmanager positionieren?

Sollte er vollständig in diese Infrastruktur eingebettet sein – oder bewusst unabhängig bleiben und dennoch intelligent integriert werden?

Identitätsdominanz in der Schweiz und der EU

Zentralisierte Authentifizierung ist der Standard

Die meisten Organisationen heute:

• Authentifizieren Benutzer über Active Directory oder Entra ID
• Nutzen SSO über SaaS-Plattformen hinweg
• Erzwingen MFA über Microsoft-Identitätsdienste
• Wenden Conditional-Access- (bedingter Zugriff) und Geräte-Richtlinien zentral an

In diesem Umfeld werden Passwortmanager, die Identitätsintegration ignorieren, schnell zu Reibungspunkten. Benutzer erwarten eine nahtlose Authentifizierung. Administratoren erwarten automatisierte Lifecycle-Prozesse.

Die Integration in die Unternehmensidentität ist nicht länger optional – sie wird vorausgesetzt.

Doch Zentralisierung erzeugt auch Konzentrationsrisiken

Gleichzeitig bringt eine starke Abhängigkeit von einem einzigen Ökosystem strukturelle Fragestellungen mit sich:

• Vendor-Konzentrationsrisiko (wenn ein grosser Teil der IT-Infrastruktur eines Unternehmens von einem einzigen Anbieter abhängt)
• Diskussionen über strategische Autonomie (insbesondere innerhalb der EU)
• Abhängigkeit von Hyperscaler-Infrastrukturen
• Potenzieller Single Point of Failure bei der Authentifizierung

Für Schweizer Organisationen spielen zusätzliche Faktoren eine Rolle:

• Datensouveränität
• Hosting-Gerichtsstand
• Rechtliche Klarheit und Unabhängigkeit
• Vermeidung unnötiger grenzüberschreitender Datenexposition

Vor diesem Hintergrund wird die Architektur eines Passwortmanagers strategisch relevant.

Authentifizierungsintegration vs. Infrastruktur-Einbettung

Es besteht ein grundlegender architektonischer Unterschied zwischen:

• Der vollständigen Einbettung eines Passwortmanagers in die Unternehmens-Identitätsinfrastruktur
• Der Föderation der Authentifizierung bei gleichzeitiger Wahrung der Systemunabhängigkeit

PassSecurium™ folgt dem zweiten Modell.

Es:

• Nutzt Active Directory (über LDAP) oder Microsoft Entra ID zur Authentifizierung
• Unterstützt SSO
• Kann Rollen anhand von Verzeichnisattributen zuordnen
• Wird in einem Schweizer Rechenzentrum gehostet
• Bleibt logisch und operativ von der internen Infrastruktur des Kunden getrennt

Dadurch entsteht eine klare Sicherheitsgrenze.

Durch die Trennung von Authentifizierung und Vault-Speicherung gewinnen Organisationen sowohl Integration als auch Resilienz.

Warum Identitätsintegration weiterhin wichtig ist

Auch ohne Infrastruktur-Einbettung bietet die Authentifizierungsföderation erhebliche operative und sicherheitstechnische Vorteile.

Zentralisierte Zugriffskontrolle

Mitarbeitende authentifizieren sich mit ihren gewohnten Unternehmenszugangsdaten. Es müssen keine separaten Passwörter für den Passwortmanager verwaltet werden. Bestehende MFA-Richtlinien können über Entra ID oder AD angewendet werden.

Das reduziert Reibung und verbessert die Akzeptanz.

Sauberes Onboarding und Offboarding

Wenn das Identitäts-Lifecycle-Management zentral gesteuert wird:

• Neue Benutzer erhalten Zugriff entsprechend ihrer Verzeichnisrollen
• Deaktivierte Konten verlieren automatisch den Zugriff
• Das Risiko verwaister Konten wird reduziert

Dies unterstützt sowohl operative Effizienz als auch Compliance.

Reduziertes Shadow IT

Wenn das Passwortmanagement mit den unternehmensweiten Identitätsrichtlinien abgestimmt ist, greifen Mitarbeitende seltener auf nicht autorisierte Tools zurück. Integration stärkt Governance statt sie zu umgehen.

Der strategische Vorteil des Schweizer Hostings

Die Dominanz von Microsoft im Identitätsbereich hebt die Bedeutung der Datensouveränität nicht auf.

PassSecurium™ wird in einem Schweizer Rechenzentrum betrieben und bietet:

• Einen klaren rechtlichen Rahmen
• Datenhaltung ausserhalb von Hyperscaler-Public-Cloud-Infrastrukturen
• Ausrichtung an Schweizer regulatorischen Erwartungen
• Ein vorhersehbares rechtliches Umfeld

Für viele Schweizer Organisationen – und zunehmend auch EU-Unternehmen – sind Souveränität und architektonische Unabhängigkeit Teil der Risikostrategie.

Die Nutzung von Microsoft für die Authentifizierung bei gleichzeitig unabhängiger Vault-Hosting-Struktur trennt Identitätsvertrauen von Geheimnisspeicherung.

Diese geschichtete Architektur unterstützt Defense-in-Depth (Tiefenverteidigung).

Risiken eines Microsoft-zentrierten Identitätsmodells – und wie man sie minimiert

Identitätszentralisierung ist leistungsfähig, muss jedoch sorgfältig gesteuert werden.

Single Point of Authentication Failure

Wird ein Entra-ID- oder AD-Konto kompromittiert, kann der Zugriff auf mehrere Dienste betroffen sein.

Minderungsmassnahmen:

• Strikte MFA-Durchsetzung
• Hardware-gestützte Authentifizierung (z. B. Sicherheitsschlüssel)
• Conditional-Access-Richtlinien
• Trennung privilegierter Konten

Ein Passwortmanager sollte diese Kontrollen ergänzen – nicht abschwächen.

Privilege Creep durch Verzeichnisgruppen

Verzeichnisgruppen können im Laufe der Zeit wachsen und übermässige Zugriffsrechte gewähren.

Minderungsmassnahmen:

• Strikte Rollenzuordnung
• Durchsetzung des Least-Privilege-Prinzips innerhalb des Passwortmanagers
• Regelmässige Zugriffsüberprüfungen

Passwortmanager müssen granulare Berechtigungsmodelle unabhängig von der Identität durchsetzen.

Compliance- und Monitoring-Lücken

Sich ausschliesslich auf Identitäts-Logs zu verlassen, ist unzureichend.

Organisationen sollten sicherstellen:

• Aktivitätsprotokolle innerhalb des Passwortmanagers
• Trennung zwischen Authentifizierungsereignissen und Vault-Aktivitäten
• Unabhängige Audit-Trails

Diese Trennung verbessert Rechenschaftspflicht und die Nachvollziehbarkeit bei Sicherheitsvorfällen.

Wo PassSecurium™ einzuordnen ist

PassSecurium™ integriert sich in Microsoft-Identitätsdienste, ohne infrastrukturell abhängig zu werden.

Es:

• Unterstützt Authentifizierung über Active Directory (LDAP)
• Unterstützt SSO über Microsoft Entra ID
• Ermöglicht Rollen- und Gruppen-Mapping
• Wird in einem Schweizer Rechenzentrum gehostet
• Bewahrt architektonische Unabhängigkeit von der Corporate-Identitätsinfrastruktur
• Bietet Enterprise-Grade-Logging- und Governance-Funktionen

Dieses Modell ermöglicht Organisationen:

• Die Dominanz von Microsoft im Identitätsbereich zu nutzen
• Souveränität und Trennung zu wahren
• Vendor Lock-in zu reduzieren
• Resilienz durch architektonische Schichtung zu bewahren

PassSecurium™ ersetzt Microsoft-Identität nicht – es ergänzt sie.

Fazit: Identität ist zentral – aber Architektur bleibt entscheidend

Die Dominanz von Microsoft im Enterprise-Identitätsbereich in der Schweiz und der EU ist unbestreitbar.

Doch:

• Identität ist nicht die gesamte Sicherheitsarchitektur.
• Authentifizierung ist nicht gleich Datensouveränität.
• Zentralisierung bedeutet nicht automatisch Resilienz.

Eine moderne Passwortmanagement-Strategie sollte:

• Sich intelligent in bestehende Identitätsanbieter integrieren
• Unnötige Infrastrukturkopplung vermeiden
• Hosting-Souveränität wahren
• Architektonische Unabhängigkeit bewahren
• Granulare Zugriffskontrolle über Verzeichnisgruppen hinaus durchsetzen

In einer Microsoft-zentrierten Welt geht es nicht um totale Abhängigkeit, sondern um intelligente Integration mit strategischer Trennung.

Dieses Gleichgewicht definiert eine resiliente Enterprise-Sicherheitsarchitektur.

Quellen:

https://www.crn.com/news/cloud/2026/global-cloud-market-share-q4-2025-google-grows-aws-lead-narrows

https://opencloudcoalition.com/microsoft-dominates-80-of-public-sector-productivity-software-market-in-eu-raising-competition-concerns-according-to-new-report/#:~:text=Microsoft%20Dominates%2080%25%20of%20Public,New%20Report%20%E2%80%93%20Open%20Cloud%20Coalition